티스토리 뷰
코로나 시국에 집에서 온라인 수업을 듣고, 재택근무를 하는 등 온라인을 사용한 활동이 활발해지고, 그 범위와 영역이 코로나 시국 전과는 비교도 안될 만큼 엄청나게 늘어나게 되었다. 이에 따라 개인의 온라인 계정을 성인 평균 14개의 온라인 계정을 새로 생성했다고 하는데, 늘어난 온라인 활동에 따라 사용하는 계정이 많아지면서 그만큼 기억해야 할 ID와 비밀번호도 많아진 게 문제라면 문제인 것이다.
여러 가지 새로 가입하는 서비스에 대해서 ID와 PW를 외우기가 힘드니까 여러 서비스에 ID와 비밀번호를 동일하게 적용하는 경우가 생기고, 이에 따라 계정정보 하나만 노출되더라도 모든 서비스가 안전성이 위협받는 상황이 생길 수도 있다. 반대로 보안을 위해서 서비스마다 복잡한 비밀번호를 설정한다면 따로 메모를 해두던지 해서 로그인할 때마다 비밀번호를 찾아야 하는 불편함도 발생하게 되는 게 현실이다.
이러한 사용자라면 비밀번호 저장과 보안을 위해서 구글 같은 서비스에 제공하는 계정에 대한 2단계 인증을 사용하는 것도 좋을 것이다.
[멀티팩터 인증 (Multi-Factor Authentication)]
온라인 로그인에 대한 비밀번호 유출은 생각보다 많이 발생하는데, 개인의 로그인 정보를 보호하는 방법으로써 인증수단을 단일수단이 아닌 복수, 즉 여러개로 사용하는 것을 추천한다. 즉 멀티팩터인증인데, 구글 같은 곳에서는 2단계 인증을 사용하여 비밀번호를 입력한 다음 2번째 인증 단계를 거치게 하여 본인의 계정에 접근할 권한이 없는 악의적인 사용자로부터 본인의 계정을 보호할 수 있다.
2017년 열린 블랙햇 컨퍼런스에서 해커 250명을 대상으로 설문조사를 한 결과, 해킹하기 가장 힘든 것으로 응답자의 38%가 멀티팩터 인증(Multi-Factor Authentication, MFA)을 꼽았으며, 기업의 민감한 데이터로 접근하는 가장 쉽고 빠른 방법으로는 ‘높은 권한을 가진 계정의 탈취’라는 응답이 가장 많았다고 한다.
따라서 위의 설문조사 결과를 종합해보면 멀티팩터 인증을 적용하여 계정의 보안성을 강화하는 것이 보안사고를 방지하는데 가장 효과적인 방법 중의 하나라고 볼 수 있겠다.
[사용자 인증에서 ‘팩터(Factor)’의 의미]
사용자의 신원을 확인하는 방법에 따라 지식기반 인증, 소유기반 인증, 속성기반 인증의 3가지의 카테고리로 나누어 지는데 이를 ‘인증 팩터'(Authentication Factor) 또는 '인증 타입'(Authentication Type)이라고 한다.
가장 많이 사용하는 ID/PW 인증은 ‘알고 있는 정보’이므로 지식기반 팩터에 해당한다. 휴대폰 잠금을 해제할 때 입력하는 PIN코드나 사전에 설정해놓은 질문답변 등도 이에 해당하며, 가장 손쉽고 편리하게 사용 가능하지만 유출되기도 가장 쉽다는 단점이 있다.
소유기반의 팩터는 사용자가 ‘가지고 있는 것’을 통해 인증하는 있는 방법으로, 휴대폰 SMS인증, OTP, 스마트카드, USB토큰 등이 있다. 소유기반 인증을 적용할 경우 물리적으로 도난을 당할 수 있으며, 본인일지라도 인증 시 소유하고 있지 않으면 인증할 수 없는 것이 단점이다.
사람의 고유한 속성을 기반으로 하는 인증은 생체인증(Biometrics) 방식에 해당하며, 대표적인 지문인식 외에도, 홍채인식, 얼굴인식 등 새로운 기술이 계속 발전하고 있다. 편리하지만 인식에 오류가 발생할 수 있으며 추가적인 장치가 필요하다. 또한 생체인증 정보는 변경이 불가능하므로 정보가 탈취될 경우 가장 큰 피해를 입을 수 있기도 하다.
[멀티팩터 인증에는 무엇이 있을까]
1. 싱글팩터 인증과 멀티팩터 인증
3가지 인증 팩터 중, 한 가지의 팩터만을 이용하여 인증할 경우 싱글팩터 인증(Single Factor Authentication, SFA)이라고 한다.
멀티팩터 인증은 단어의 의미 그대로 2개 이상의 팩터를 이용하여 인증하는 방식을 의미한다. 아직까지는 2가지의 팩터만 사용하는 경우가 대부분이므로 투팩터 인증(2 Factor Authentication, 2FA)이라는 단어가 많이 사용되고 있다.
멀티팩터 인증에서는 최대 3가지의 팩터를 중첩하여 사용할 수 있겠으나, 최근 들어 더 강화된 인증을 위한 4번째 팩터로서 위치정보나 시간정보 등이 거론되기도 한다. 그러나 4번째 팩터로 거론되는 항목들도 엄밀히는 기존의 3가지 분류에 포함되는 것으로 보며, 완전한 4번째의 팩터로 인정되기보다는 인증을 강화하는 추가적인 요소 정도로 여겨지고 있다.
따라서 최근의 멀티팩터 인증(MFA, Multi-Factor Authentication)의 의미는 최소 두 가지 이상의 인증 요소를 이용하여 본인 여부를 인증하는 것으로 비밀번호와 같이 해당 이용자만이 알고 있는 요소(지식기반), 하드웨어 토큰과 같이 해당 이용자만이 갖고 있는 요소(소유기반), 생체인식 정보와 같이 해당 이용자만의 고유 요소(속성기반), 어떤 인물의 반복된 행동이나 기기 사용 방식(행위기반), GPS나 이동통신과 같이 특정 장소(장소기반) 등에서 최소 2개 이상을 함께 사용하여 이용자를 인증하는 것으로 설명하고 있다.
멀티팩터 인증은 적어도 지식(knowledge), 소유(possession), 속성(inherence), 행위(behavior), 장소(place) 중 두 가지에 한해 별도의 여러 증거 부분을 인증 매커니즘에 성공적으로 제시한 이후에만 사용자가 접근 권한이 주어지는 컴퓨터 접근 제어 방식의 하나이다.
2. 투팩터 인증과 2단계 인증
일반적으로 소유기반 팩터로 여겨지는 휴대폰 SMS, 보안카드, OTP 인증 등에 대해서는 논란의 여지가 있다. 인증에 필요한 것이 소유한 물건 자체가 아니라 그로부터 ‘알게 된 정보’이기 때문에 지식기반 팩터라는 의견이 있으며, 실제로 해킹이나 보이스피싱과 같은 사회공학적 방법으로 소유하지 않고도 필요한 인증 값을 탈취하는 사례가 많이 발생하고 있다.
위와 같은 관점으로 보면 ID/PW 인증 후에 휴대폰 SMS나 OTP 인증 등을 추가 적용하는 경우, 지식기반 팩터를 2번 사용하는 형태라고 하여 2단계 인증(2 Step Verification, 2SV)이라고 불리며, 강화된 형태의 싱글팩터 인증으로 분류하기도 한다.
인증 팩터의 분류에서 2가지 이상의 팩터를 기반으로 해야 투팩터 인증 혹은 멀티팩터 인증이라고 할 수 있다. ATM에서 현금을 인출할 때는 현금카드(소유기반)와 계좌 비밀번호(지식기반) 두 가지가 필요한데, 이런 경우는 완전한 투팩터 인증에 해당한다.
[멀티팩터 인증의 다양한 인증방식]
멀티팩터 인증에 적용할 수 있는 다양한 인증 방식 몇 가지는 아래와 같다.
1. 휴대폰 SMS 메시지
휴대폰 SMS를 통한 1회성 인증 코드를 사용하는 방식으로, 우리나라에서는 2단계 인증 방식으로 가장 많이 사용하고 있다. 스마트폰이 아니어도 사용이 가능하지만, 전송단계에서 가로채거나 SIM카드를 복사 등으로 쉽게 해킹될 수 있다. 또한 익명으로 사용하기 어렵고 통신 비용이 발생한다는 단점이 있다.
2. OTP 어플리케이션
대표적으로는 구글에서 제공하는 Google Authenticator이라는 스마트폰 어플리케이션이 있다. 스마트폰만 있으면 구글 OTP를 지원하는 사이트에서 무료로 사용할 수 있으며 쉽게 사용이 가능하다.
네이버에서도 PC 로그인 시 사용할 수 있도록 네이버 모바일앱을 통한 OTP 기능을 제공하고 있다.
3. USB키
USB 안에 사용자의 인증정보를 담고 있는 물리적인 키의 형태로, USB를 꽂으면 인증이 이루어지는 방식이다. 구글, 드롭박스, 페이스북 등에서 사용자 인증방식으로 제공하기 시작하는 등 조금씩 사용 범위가 확대되고 있다.
USB키는 인증정보를 키보드로 입력하는 방식이 아니기 때문에 피싱과 같은 공격에 강하며, 최초 설정 후에는 USB포트에 꽂기만 하면 되므로 사용이 편리하다. 다만, USB키를 별도로 구매해야 하고, USB포트가 없는 장치에는 사용할 수 없으며, 따로 가지고 다녀야 한다는 단점이 있다.
4. 생체인식
지문인식, 홍채인식, 얼굴인식, 행동기반 인식 등 다양한 종류의 생체인식 기술은 다양한 분야에서 조금씩 적용되고 있으며, 얼마 전에는 애플의 신제품인 아이폰X에 FaceID라는 얼굴인식 기술을 도입했다고 하여 화제가 되고 있다.
생체인식은 종류에 따라 전혀 다른 방법으로 적용되며, 인식률의 오류나 추가 장비 설치의 제약이 있으므로 인증 환경에 따라 적용방법을 신중히 검토하여 적용하여야 한다.
[멀티팩터인증에도 보완은 필요하다]
원격/재택근무 시 정보자산의 보안 강화를 위하여 가장 중요한 것은 "사용자 식별.인증을 위한 OTP 등을 활용한 2단계 인증(다중 인증)체계를 설정"하는 것이다.
평균적으로 원격 업무를 하고 있는 원격 근무자 5명 중 1명이 매달 20개가 넘는 피싱 메일을 받고 있으며, 응답자의 71%가 피싱 공격의 대상이 되고 있다고 밝혔다. 사이버 보안 인식 교육을 통해 이러한 공격을 식별하는 방법을 학습하는 것이 조직과 개인 자산을 보호하는 데 있어 중요한 과제로 떠올랐다.
공격자들도 타깃 풀을 공격적으로 확대하고 있다. 윈도 OS 기반의 워크로드뿐만 아니라 리눅스, 맥OS, 안드로이드, iOS 디바이스에서도 공격 빈도가 급증하고 있으며, 가상화 환경에 대한 공격도 증가하고 있다.
이렇게 MFA(멀티 팩터 인증)에 대한 인식이 높아지고 있음에도 불구하고 IT 관리자의 절반(47%)이 MFA 솔루션을 사용하지 않아 피싱 공격에 노출되어 있는 이유는 해당 기술을 꺼려하기 때문인데, 이것은 관리자들이 이 기술에서 가치를 발견하지 못했기 때문이다.
원격 근무자 4명 중 1명은 MFA(멀티 팩터 인증)을 사용하지 않고 있다. 사용을 꺼리는 이유로는 이 기술에서 가치를 발견하지 못하거나 구현하기에 너무 복잡하기 때문이거나, 멀티팩터인증에서 사용자가 OTP카드와 같은 인증 요건을 잃어버렸을 경우 다른 방식으로 인증을 받기가 매우 힘들기 때문이다라고 답했다. 이는 피싱이 2021년에 가장 일반적인 공격 유형이 된 이유 중 하나이다.
멀티팩터 인증에서 사용자가 OTP카드와 같은 인증 요건을 잃어버렸을 경우 다른 방식으로 인증을 받을 수 있도록 하는 백업플랜을 제공해야 하며, 이때 최초의 인증방법과 같은 레벨로 제공하여 인증 강도가 약해지지 않도록 해야 한다.
인증을 강화하기 위한 방식으로 멀티팩터 인증이 각광받고 있으나, 최소 2가지 이상의 인증 방식을 적용해야 하므로 사용자 편의성은 나빠질 수밖에 없다. 특히 수많은 이용자를 대상으로 하는 웹사이트나 모바일 어플리케이션 등의 환경에서는 인증 강도와 편의성의 적절한 접점을 찾아 적용할 수 있도록 고민이 필요할 것이다.
- 다음 : 무차별대입공격소개 -
'정보보안.Security' 카테고리의 다른 글
[리눅스][초보][보안][무차별대입공격 원리] (1) | 2022.12.30 |
---|---|
[리눅스][초보][보안][무차별대입공격이란] (4) | 2022.12.29 |
[리눅스][초보][보안][구글 비밀번호 진단기능 활용하기] (1) | 2022.12.27 |
[리눅스][초보][보안][재택근무 시 지켜야 하는 10가지 보안수칙] (0) | 2022.12.26 |
[리눅스][초보][보안][재택근무가 다시 늘어나고 있다] (2) | 2022.12.25 |